Sanctions CNIL 2025 : amendes et comment les éviter — ITWATCHYOU
Délibérations officielles CNIL

Sanctions CNIL
101 M€ d'amendes en 2023

Montants, entreprises sanctionnées, infractions les plus courantes et procédure CNIL. Checklist pratique pour réduire votre risque d'amende.

Articles 83 du RGPD

Amendes administratives… mais pas seulement

Deux niveaux d'amende CNIL, auxquels s'ajoutent, trop souvent oubliées, des sanctions pénales.

Niveau 1 : Art. 83§4
10 M€ ou 2%

Du chiffre d'affaires mondial annuel (le montant le plus élevé retenu).

Infractions concernées
  • Obligations des sous-traitants (Art. 28)
  • Registre des traitements (Art. 30)
  • Désignation du DPO (Art. 37)
  • Notification violation (Art. 33-34)
Niveau 2 : Art. 83§5
20 M€ ou 4%

Du chiffre d'affaires mondial annuel (le montant le plus élevé retenu).

Infractions concernées
  • Principes fondamentaux (Art. 5-7)
  • Droits des personnes (Art. 12-22)
  • Consentement invalide (Art. 7)
  • Transferts illicites hors UE (Art. 44+)
Code pénal · art. 226-16 à 226-24
5 ans de prison
+ 300 000 € (1,5 M€ pour une société)

On oublie souvent que le traitement illicite de données personnelles est un délit, pas seulement une faute administrative. L'amende de la CNIL s'ajoute aux poursuites pénales : traitement sans base légale (226-16), défaut de sécurité (226-17), collecte déloyale (226-18), données sensibles (226-19), détournement de finalité (226-21). L'absence de mentions légales est elle-même un délit (75 000 €, art. 6-VI LCEN).

Volet civil · art. 82 RGPD

Et sur le plan civil : toute personne concernée qui subit un préjudice (matériel ou moral) peut réclamer des dommages-intérêts non plafonnés (art. 82 RGPD), y compris collectivement par action de groupe (art. 37 loi Informatique et Libertés). Ces réparations s'ajoutent à l'amende de la CNIL et aux poursuites pénales.

Délibérations officielles

Sanctions CNIL récentes

Source : Registre public des délibérations CNIL

Amazon France Logistique2023

Surveillance excessive et disproportionnée des employés

32 M€
Criteo2023

Consentement publicitaire non conforme, ciblage comportemental

40 M€
Apple (France)2023

Publicité ciblée sans consentement préalable sur App Store

8 M€
TikTok2023

Interface cookies complexe, refus plus difficile qu'accepter

5 M€
Clearview AI2022

Collecte illégale de données biométriques (visages) sans consentement

20 M€
Free Mobile2022

Sécurité insuffisante, données clients accessibles sans authentification

300 000€
Doctissimo2022

Cookies déposés sans consentement préalable + transmission données santé

380 000€
EDF2021

Prospection commerciale sans consentement + droits non respectés

600 000€

Source : CNIL, Voir toutes les décisions

Analyse des délibérations

Infractions les plus sanctionnées

Cookies & tracking

38%

Bannière non conforme, refus complexe, cookies déposés avant consentement.

Sécurité des données

22%

Mots de passe faibles, données en clair, accès non restreints.

Droits des personnes

18%

Non-réponse aux demandes d'accès, refus d'effacement, délais non respectés.

Sous-traitants (Art. 28)

12%

Absence de DPA, sous-traitants non conformes, transferts hors UE non encadrés.

Procédure CNIL

1

Plainte ou initiative CNIL

La procédure démarre suite à une plainte d'un particulier, une violation notifiée, ou une initiative propre de la CNIL (thématique annuelle).

2

Instruction

Les services de la CNIL analysent les éléments, peuvent demander des informations à l'organisation et effectuer des contrôles (sur place, en ligne, sur pièces).

3

Mise en demeure (si applicable)

Pour les manquements corrigeables, la CNIL peut adresser une mise en demeure (délai de mise en conformité). Peut être rendue publique ou non.

4

Délibération de la formation restreinte

La formation restreinte de la CNIL (commission permanente) délibère et peut prononcer : avertissement, injonction, sanction pécuniaire.

5

Sanction et publication

La décision est notifiée à l'organisation et publiée sur le site CNIL pendant 2 ans minimum. Recours possibles devant le Conseil d'État.

Checklist pour réduire votre risque

Bannière cookies conforme : refus aussi simple qu'accepter
Politique de confidentialité complète et accessible dans le footer
Registre des traitements tenu à jour (Art. 30)
Contrats DPA signés avec tous vos sous-traitants (Art. 28)
Procédure documentée pour répondre aux droits dans le délai d'un mois
Mesures de sécurité adaptées : chiffrement, accès restreints, MDP forts
Procédure de gestion des violations de données (notification CNIL 72h)
DPO désigné si activité l'exige (ou DPO externe mutualisé)
Questions fréquentes

FAQ : Sanctions CNIL

Les questions les plus posées sur les sanctions et la procédure CNIL.

Réduisez votre risque de sanction CNIL

Analysez votre site gratuitement : cookies, pages légales, trackers et conformité RGPD. Identifiez vos points de non-conformité avant la CNIL.

Scanner mon site gratuitement →

Résultat immédiat · Sans inscription · 100% gratuit